Vamos a ver cómo configurar una directiva de seguridad GPO en Windows Server 2016, para aplicar un fondo de escritorio (papel tapiz) a algunos equipos del dominio.

 

Primero entramos en Administrador del Servidor:

administrador del servidor | Windows Server

 

Comprobamos en Administrador del Servidor que tenemos un Servidor de AD (Active Directory) funcionando y correctamente configurado:

Active Directory | Windows Server

 

 
Suponemos que ya tenemos correctamente configurado el servidor de Dominio y Active Directory correctamente instalado en nuestro servidor Windows Server 2016:

Administrar Servidor Active Directory en Windows Server
 

 

primero entraremos en HerramientasEquipos y usuarios de Active Directory:

Usuarios y equipos de Active Directory
 

 

Entramos en Computers (Equipos dentro del dominio) y buscaremos los equipos a los que deseamos aplicar una directiva concreta (en este caso para aplicar un papel tapiz solo a esos equipos):

Computers - Equipos Dominio en Server 2016
 

 

Creamos una nueva Unidad Organizativa:

Crear nueva Unidad Organizativa AD 2016

 

 

A continuación elegimos el nombre de la nueva Unidad Organizativa:

Nuevo Objeto en Unidad Organizativa

 

 

Movemos el/los equipos deseado(s) a la Unidad Organizativa que acabamos de crear, llamada EQUIPOS ESCRITORIO:

Mover equipo a otra Unidad Organizativa

 

 

Y seleccionamos la UNIDAD ORGANIZATIVA a la que moveremos el equipo:

Mover Objeto a Directiva Windows

 

 

A continuación ya podremos comprobar que el equipo forma parte de la Unidad Organizativa «EQUIPOS ESCRITORIO«, que es donde lo hemos movido:

Equipo en Unidad Organizativa de Active Directory

 

 

Ahora habremos de crear una Directiva GPO para la nueva Unidad Organizativa creada ( en este caso la UO EQUIPOS ESCRITORIO ). Así que volvemos a Administrador del Servidor / Herramientas, y vamos a Administración de Directivas de grupo

Herramientas de Administración de Directivas de Grupo

 

 

También podemos acceder a Administración de Directivas de grupo por medio de Ejecutar: gpmc.msc

gpmc.msc | Directivas de Grupo Windows Server

 

 

Al abrir Administración de Directivas de grupo veremos el bosque de Active Directory y el dominio(s) creado.

En este caso estamos trabajando en el dominio ficticio: empresa.local

Podemos ver la directiva por defecto del dominio, llamada Default Domain Policy

Directivas de Grupo

 

TE RECOMENDAMOS  Métodos para ejecutar las CRON en Cpanel

 

Si actualizamos podremos ver que se ha creado la nueva Unidad Organizativa (UO) que hemos creado previamente, llamada: EQUIPOS ESCRITORIO.

A continuación crearemos una nueva Directiva de Seguridad para esa UO; pulsamos click derecho sobre la UO, y seleccionamos la opción crear un GPO en este dominio y vincularlo aquí

Crear una GPO para dominio y vincularlo

 

 

Nosotros en este caso vamos a llamarla Directiva EQUIPOS ESCRITORIO (igual que el nombre de la Unidad Organizativa ).

Así que tras crear la nueva GPO, podremos ver que aparece dentro de la Unidad Organizativa.

Y con click derecho, podremos acceder a la opción de Editar

Editar Directiva GPO para Unidad Organizativa

 

 
Al entrar a editar la directiva GPO creada, iremos a Configuración de usuario/ Directivas/ Plantillas Administrativas / Active Desktop



Y habremos de configurar las opciones:

  • Habilitar Active Desktop

y

  • Tapiz del escritorio

Configuracion de usuario en Directivas/Plantillas administrativas de Active Desktop
 

 

Desplegamos la opción Habilitar Active Desktop, y la habilitamos:

Habilitar Active Desktop

 

 

También desplegamos la opción Tapiz del escritorio, y la habilitamos.

Para configurarla correctamente, hemos de introducir la ruta UNC del archivo de imagen que servirá como papel tapiz.

Habilitar Papel Tápiz

 

 

Introducir correctamente la ruta UNC del directorio donde se encuentra la imagen para tapiz de escritorio:

En este caso hemos compartido el directorio C:\fondo

La ruta UNC es : \\nombre_servidor\RecursoCompartido\imagen.jpg

 

Ruta UNC directorio imagen tapiz escritorio

 

 

IMPORTANTE: Los permisos que ha de tener el Recurso compartido donde se encuentra la imagen para tapiz de escritorio.


 

El Recurso compartido en el que se encuentra contenido el archivo de imagen que servirá como tapiz del escritorio, ha de tener al usuario Todos con permiso de lectura, tanto en la pestaña Compartir, como en la pestaña Seguridad:

 

En la pestaña Compartir:

 

TE RECOMENDAMOS  Win32k.sys | Pantallazo azul

 

En la pestaña Seguridad:

 

 

Configuraciones restantes de la nueva GPO para poder aplicar la configuración de papel tapiz a los equipos deseados:


 

Aunque ya hemos configurado las opciones de la directiva relativas al papel tapiz y Active Desktop, todavía nos queda lidiar con el orden de aplicación de las directivas, la Herencia,  la opción Exigido, y vincularla al dominio si no está vinculada.

 

 Primero Vincularemos la GPO existente al dominio empresa.local, que es con el que estamos trabajando en este caso:

Vincular una GPO existente

 

 

Seleccionamos la GPO «Directiva EQUIPOS ESCRITORIO«:

Vincular nueva GPO

 

 

Y vemos que la Directiva EQUIPOS ESCRITORIO aparece debajo del dominio:

Nueva GPO vinculada en dominio

 

 

Pero todavía nos falta marcar la opción Exigido, porque como estamos heredando valores de la directiva Default Domain Policy, y esta no tiene configurado el papel tapiz ni Active Desktop, si no forzamos que la Directiva sea exigida para el equipo que se encuentra en la Unidad Organizativa en la que se aplica esta GPO, tendrá mayor prioridad la GPO Default Domain Policy, y no se aplicará el tapiz de escritorio.

 

Opción GPO exigido
 

 

Ahora forzamos la actualización de la directiva, por medio del comando gpupdate /force

Forzamos a actualizar la Directiva: gpupdate/force
 

 

Y podemos utilizar el comando gpresult /r para comprobar los resultados de la actualización de las directivas:

gpresult /r

 

 

Vemos que se ha aplicado correctamente como queríamos la Directiva EQUIPOS ESCRITORIO:

gpresult /r | Objetos de Directiva de Grupo aplicados

 

 

Y por último, la prueba de fuego: encendemos el equipo cliente que se encuentra en la Unidad Organizativa afectada por la GPO que hemos creado, y vemos que aplica correctamente el tapiz de escritorio !  🙂

 
GPO exigida se aplica a tapiz de escritorio
 




Etiquetas del articulo: , ,